Mit Spannung haben wir auf den Vortrag von Prof. Dr. Raoul Kirmes von der Deutschen Akkreditierungsstelle (DAkkS) und Dr. Helge Kreutzmann im Rahmen der Akkreditierungskonferenz AKKKO 2023 in Berlin gewartet. Der Vortragstitel lautete:
IT- und Cybersicherheit in Konformitätsbwertungsstellen – zwei Betrachtungen
Dr. Helge Kreutzmann, Fachexperte im Bundesamt für Sicherheit in der Informationstechnik (BSI), nahm Bezug auf das Bundeslagebild zur Cyberkriminalität, das regelmäßig vom Bundeskriminalamt (BKA) veröffentlicht wird. Demnach bleibt auch im aktuellsten Lagebild 2022 Ransomware primäre Bedrohung für Unternehmen. Phishing ist Haupteintrittsvektor für Schadsoftware. Die bezifferten Schäden durch Cyberangriffe belaufen sich auf rund 203 Mrd. Euro. Durch entsprechende Sensibilisierung gehen 2022 weniger Unternehmen auf Erpressungsforderungen von Tätern ein. Der russische Angriffskrieg verstärkt massiv die Angriffe auf kritische Infrastrukturen.
So wurden 2022 Großteile der Server am Medizin Campus Bodensee bei einem Ransomware-Angriff verschlüsselt. Dies hatte zur Folge, dass keine Notfälle mehr angenommen werden konnten und die ambulante Patientenversorgung auch Tage später noch nicht möglich war.
Der Gruppierung LockBit erlangte Zugang zu den Systemen des Unternehmens CONTINENTAL und exfiltrierte Daten in der Gesamtmenge von 40 TB, die für 50 Mio. US-Dollar im Darknet angeboten wurden. Die Daten enthielten vertrauliche Informationen wie Strategiepläne, Korrespondenz und Kundendaten.
Dr. Helge Kreutzmann berichtete von einem ähnlichen Angriff auf einen Anwaltskanzlei. Bei dem Angriff wurden sämtliche Daten auf den Servern der Kanzlei verschlüsselt und eine hohe Lösegeldforderung gestellt. Die Kanzlei teilte dem Angreifer mit, dass die Forderung wirtschaftlich nicht darstellbar sei und man darauf nicht eingehen könne. Die Angreifer teilten mit, dass Sie diese Behauptung überprüfen werden. Die prüften die Wirtschaftsdaten des Unternehmens und die Kontostände und ließen mitteilen, dass die Überprüfung ergeben habe, dass ein Discount möglich sei. Natürlich wurde der Forderung nicht Folge geleistet und die Sache den Ermittlungsbehörden übergeben.
Angriffe können jeden treffen!
Soviel steht fest: Keine Organisation ist vor Cyberkriminellen sicher. Die wachsende Digitalisierung von Prozessen in Organisationen steigert enorm die Effektivität und Effizienz, birgt jedoch auch Risiken. Mit diesen Risiken gilt es umzugehen, denn die Nutzung digitaler Tools wird nicht mehr weggehen und sichert unsere Wettbewerbsfähigkeit.
Die DIN EN ISO/IEC 17025 enthält Anhaltspunkte für die Konformitätsvermutung zu Anforderungen aus der DIN EN ISO/IEC 27001!
Ein Blick in die DIN EN ISO/IEC 17025 – Anforderungen an die Kompetenz von Prüf- und Kalibrierlaboratorien zeigt uns Anhaltspunkte für die Konformitätsvermutung zur DIN EN ISO/IEC 27001 – Informationstechnik – Sicherheitsverfahren – Informationssicherheitsmanagementsysteme – Anforderungen.
Bestätigt wird diese Vermutung ebenfalls durch einen Blick in die neue Revision der DIN EN ISO 15189 – Anforderungen an die Kompetenz von medizinischen Laboratorien – dort ist sogar die Anwendung der Maßnahmen aus dem Anhang A der DIN EN ISO/IEC in einer Anmerkung referenziert.
Die Schutzziele der DIN EN ISO/IEC 27001 sind leicht verständlich gegliedert im sogenannten CIA-Prinzip. CIA steht für die drei Kernprinzipien der IT-Sicherheit: Confidentiality (Vertraulichkeit), Integrity (Integrität) und Availability (Verfügbarkeit). Diese drei Prinzipien bilden die Grundlage für den Schutz von Informationen und Daten in IT-Systemen. Natürlich wissen Sie, dass „Vertraulichkeit“ auch in der DIN EN ISO/IEC 17025 und der DIN EN ISO 15189 verankert und im Kapitel 4.2 Vertraulichkeit ein eigenes Normkapitel gewidmet ist. Doch auch die Integrität und Verfügbarkeit spielt in der DIN EN ISO/IEC 17025 bzw. der DIN EN ISO 15189 eine wichtige Rolle.
„Integrität von Informationen“ bedeutet z.B. dass Sachverhalte der realen Welt richtig abgebildet werden – d.h. in einem unmodifizierten Zustand vorliegen. Wenn Modifikationen – sofern überhaupt möglich – vorgenommen werden, so müssen diese zumindest erkennbar ein (Audit-Trail). Wichtiger Bestandteil ist auch, dass Information zu dem Zeitpunkt erfasst werden sollen, zudem Sie beobachtet werden oder in der korrekten Reihenfolge erfasst werden (temporale Korrektheit).
Einige Beispiele möchten wir hier herausstellen:
- Im Kapitel 7.5.1 der DIN EN ISO/IEC 17025 finden wir:
Das Laboratorium muss sicherstellen, dass die technischen Aufzeichnungen …. ausreichende Informationen enthalten, um, falls möglich, die Faktoren, die sich auf die Messergebnisse und deren Messunsicherheit auswirken, …. erkennen zu können und um eine Wiederholung der Labortätigkeit unter Bedingungen zu ermöglichen, die den in der Aufzeichnung niedergelegten möglichst nahe kommen.
Die technischen Aufzeichnungen müssen das Datum und die Identität der Personen beinhalten,….. Ursprüngliche Beobachtungen, Daten und Berechnungen müssen zu dem Zeitpunkt ….. aufgezeichnet werden und der speziellen Aufgabe zuzuordnen sein. - Im Kapitel 6.4.1 der DIN EN ISO/IEC 17025 finden wir:
Das Laboratorium muss Zugang zu Einrichtungen haben, die für die korrekte Durchführung …. erforderlich sind …. Ergebnisse beeinflussen können. - Im Kapitel 6.4.4 der DIN EN ISO/IEC 17025 finden wir:
Das Laboratorium muss über Verfahren Verfügen … Funktionsfähigkeit sicherzustellen … Beeinträchtigungen zu vermeiden. - Im Kapitel 7.11.2 der DIN EN ISO/IEC 17105 finden wir:
Die Informationsmanagementsysteme …. Erfassung, Verarbeitung, Aufzeichnung, das Berichten, die Lagerung und Ablage von Daten genutzt werden … Funktionsfähigkeit hin bewertet werden. - Im Kapitel 7.11.3 der DIN EN ISO/IEC 17025 schließlich finden wir:
Das Informationsmanagementsystem muss vor unbefugtem Zugriff … Manipulation und Verlust … gesichert sein … Unversehrtheit der Daten sicherstellt.
Zu all diesen Anforderungen finden wir in der DIN EN/ISO 17025 keine konkreten Maßnahmen. Die Norm lässt das WIE offen. Die neue Revision der DIN EN ISO 15189 verweist erstmals – wie bereits erwähnt – auf die Maßnahmen im Anhang A der DIN EN ISO/IEC 27001.
Welche Zusatzanforderungen zur DIN EN ISO/IEC 27001 gelten für Konformitätsbewertungsstellen?
Im Vortrag von Prof. Dr. Kirmes wurde ebenfalls darauf eingegangen, dass für Konformitätsbewertungsstellen (akkreditierte Prüf- und Kalibrierlaboratorien, medizinische Laboratorien, Zertifizierungsstellen, Inspektionsstellen etc.) neben den Schutzzielen „CIA“ noch weitere Schutzziele gelten, die normativ verankert sind. Dies sind z.B. Revisionssicherheit, metrologische Rückführbarkeit und Richtigkeit, Unparteilichkeit etc.!
Die DAkkS wird die DIN EN ISO/IEC 27001 als Grundlage der Begutachtung heranziehen!
Auch im Vortrag von DAkkS-Qualitätsmanagementexperte Dr. Andreas Hönnerscheid wurde klar: Das neue DAkkS-Regelwerk erhält eine klare Struktur und eine erfährt eine starke Vereinfachung. Dies soll das Regelwerk übersichtlicher, transparent und verständlicher machen und dafür sorgen, dass die teilweise vorhandene verwaltungsrechtliche Anfechtbarkeit verschwindet. Regeln werden nur noch da entstehen, wo es noch keine Regelung gibt oder eine Interpretation vorhandener Regeln notwendig ist.
Aus diesem Grund empfiehlt die DAkkS, das existente Regelwerk DIN EN ISO/IEC 27001 und den BSI-Grundschutzkatalog zum Thema Informationssicherheit und bei der Wahrung der oben genannten Schutzziele heranzuziehen. Die Maßnahmen der Regelwerke sind umfassend und erfüllen den Zweck. Sie werden demnach auch in Zukunft Grundlage der Begutachtung sein!
Muss ich nun eine Zertifizierung nach DIN EN ISO/IEC 27001 anstreben?
Unsere Antwort ist klar: NEIN!
Die DAkkS verlangt weder den Betrieb eines umfassenden Informationssicherheits-Managementsystems (ISMS) noch die Zertifizierung – wenngleich ersteres sinnvoll ist! Für Organisationen in kritischer Infrastruktur jedoch ist ein ISMS Pflicht.
Vielleicht ist dies für viele unter Ihnen neu, aber Sie können als akkreditierte Stelle gar keine Zertifizierung nach DIN EN ISO/IEC 27001 halten! Konformitätsbewertungsstellen, wie z.B. der TÜV oder die DEKRA müssen akkreditierte Bereiche bei der Bewertung des Konformitätsbewertungsgegenstandes Managementsystem aus dem Geltungsbereich ausschließen. Dies bedeutet, dass die DAkkS als übergeordnete Instanz in der akkreditierten Stelle für die Begutachtung der Informationssicherheit der konformitätsbewertungsrelevanten Systeme ist. Basis hierfür wieder: DIN EN ISO/IEC 27001 – Anhang A.
Wie muss ich nun in Zukunft vorgehen, um Informationssicherheit im Laboratorium sicherzustellen?
Dazu geben wir Ihnen gerne einen kleinen Handlungsleitfaden – dazu beraten wir sie gerne auch umfassend:
- Werden Sie sich bewusst, welche Systeme an Ihrer Konformitätsbewertungstätigkeit beteiligt sind (Computer, Software, Firmware, Server, Festplatten, Datenträger etc.) und dokumentieren Sie diese (Dies ist bereits heute in Teilen mit der Softwareliste in den einzureichenden Unterlagen gefordert).
- Werden Sie sich bewusst, welche Risiken in Bezug auf die Informationssicherheit für diese Systeme gelten (Hilfreich dabei kann der Gefährdungskatalog „Elementare Gefährdungen“ des BSI sein). Lesen Sie sich diese Katalog inkl. seiner Beispiele aufmerksam durch und halten die Gefährdungen als Risiko fest, die sie unmittelbar sehen!
- Planen und Treffen Sie Maßnahmen (der Anhang A der DIN EN ISO/IEC 27001 erläutert wirksame Maßnahmen) mit Bezug auf Ihre konkreten Schutzziele!
- Führen Sie eine Bewertung Ihrer Lieferanten konformitätsbewertungsrelevanter Informationsmanagementsysteme durch. Viele Provider verfügen bereits heute über die entsprechende Kenntnis, Sie beim sicheren Betrieb zu unterstützen und halten selbst Zertifizierungen. Am einfachsten ist es für Sie, wenn Sie Cloud-Lösungen einsetzen und sicherstellen, dass diese Lieferanten selbst über eine Zertifizierung nach DIN EN ISO/IEC 27001 verfügen. Diese Provider stellen grundsätzlich nur Systeme für Sie bereit, wo die wesentlichen Schutzzeile mittels „security-by-design“ Konzepten für Sie mitgedacht sind.
Aber VORSICHT: Es ist nicht ausreichend, wenn diese Provider Ihre Lösungen in zertifizierten Rechenzentren zur Verfügung stellen, selbst aber nicht zertifiziert sind. Einige etablierte, langjährig tätige Softwareprovider verfügen leider über keine entsprechende DIN EN ISO/IEC 27001 Zertifizierung.
Bedenken Sie auch: Betreiben Sie die Softwarelösung „on-premise“ – also auf Ihren Servern – sind Sie auch für den sicheren Betrieb verantwortlich. Einer der wesentlichen Treiber für moderne Cloud-Produkte, die Ihnen diese Aufwände zu großen Teilen abnehmen! - Schulen Sie Ihre Mitarbeiter im Bereich Informationssicherheit, beteiligen Sie sich an Cyber-Security-Awareness Programmen und unterziehen Sie sich Penetrationstests.
- Erstellen Sie eine Informationssicherheitsleitlinie, in der Sie Ihren Mitarbeitern wichtige Handlungsempfehlungen auf den Weg geben.
- ggf. erstellen Sie ein Notfallhandbuch mit Handlungshinweisen im Informationssicherheitsvorfall und benennen Sie Ansprechpartner.
AUDITTRAILS unterstützt Sie auch bei Aufbau eines ISMS!
Wenn Sie sich in Ihrem Laboratorium in Zukunft besser um Ihre Informationssicherheit kümmern möchten und auch in der nächsten DAkkS-Begutachtung auf alles vorbereitet sein, so helfen wir Ihnen auch im Bereich Informationssicherheit. Sofern Sie AUDITTRAILS bereits als Managementsystem-Framework für die DIN EN ISO/IEC 17025 oder DIN EN ISO 15189 einsetzen, können Sie ihr Managementsystem einfach mit unserer Hilfe um die Richtlinien DIN EN ISO/IEC 27001 oder den TISAX-Katalog erweitern und in der nächsten Begutachtung auf ein umfassenden ISMS zugreifen. Aufgrund der direkten Integration ist eine stufenweise Einführung optimal möglich.